xss防范措施href 和js输出点的案例演示

。
。
。herf

后端代码

在 xss之href输出 中 输入 javascript:alert(111)

右键 查看源代码 ctrl+f 搜索alert
注：：：a herf 里有（对应）输出时 如何做防范措施

。
。
。js输出点
在 pikachu的 xss之js输出 输入1111
查看源代码 ctrl+f 搜索1111
输入tmac 得到
源代码
< script>
$ms{=}^{\prime }1111^{\prime };if($ms.length != 0){
if($ms == ‘tmac’){
KaTeX parse error: Expected 'EOF', got '#' at position 3: ('#̲fromjs').text('…ms);
$(’#fromjs’).text(‘无论如何不要放弃心中所爱…’)
}

}

< /script>

< script>
$ms=‘1111’;构造闭合为

 ';
    
    payload:x'

输入 x'

得到

xss 防范 除了之前说的一些方法外 输出点很重要 根据不同输出点 有不同的方法和措施